Configurar los ajustes para la detección automática de datos confidenciales - Amazon Macie

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Configurar los ajustes para la detección automática de datos confidenciales

Si habilita la detección automática de datos confidenciales para su cuenta u organización, puede ajustar la configuración de la detección automática para refinar los análisis que realiza Amazon Macie. Esta configuración especifica los buckets de Amazon Simple Storage Service (Amazon S3) que deben excluirse de los análisis. También especifican los tipos y las apariciones de datos confidenciales que se deben detectar e informar: los identificadores de datos gestionados, los identificadores de datos personalizados y las listas de permisos que se pueden utilizar al analizar los objetos de S3.

De forma predeterminada, Macie realiza la detección automática de datos confidenciales para todos los depósitos de uso general de S3 que supervisa y analiza para su cuenta. Si es el administrador de Macie de una organización, incluirá los buckets que son propiedad de las cuentas miembro. Puede excluir buckets específicos de los análisis. Por ejemplo, puede excluir los depósitos que suelen almacenar datos de AWS registro, como AWS CloudTrail los registros de eventos. Si excluyes un depósito, puedes volver a incluirlo más adelante.

Además, Macie analiza los objetos de S3 utilizando únicamente el conjunto de identificadores de datos administrados que recomendamos para la detección de datos confidenciales automatizada. Macie no utiliza identificadores de datos personalizados ni permite listas que tú hayas definido. Para personalizar los análisis, puede añadir o eliminar identificadores de datos gestionados específicos, identificadores de datos personalizados y listas de permisos.

Si cambia una configuración, Macie aplicará su cambio cuando comience el siguiente ciclo de evaluación y análisis, normalmente en un plazo de 24 horas. Además, su cambio solo se aplica al actual Región de AWS. Para realizar el mismo cambio en otras regiones, repita los pasos correspondientes en cada región adicional.

nota

Para configurar los ajustes para la detección automática de datos confidenciales, debe ser el administrador de Macie de una organización o tener una cuenta de Macie independiente. Si su cuenta forma parte de una organización, solo el administrador de Macie de su organización puede configurar y administrar estos ajustes para las cuentas de su organización. Si tiene una cuenta de miembro, póngase en contacto con su administrador de Macie para obtener información sobre los ajustes de su cuenta y organización.

Opciones de configuración para organizaciones

Si una cuenta forma parte de una organización que gestiona de forma centralizada varias cuentas de Amazon Macie, el administrador de Macie de la organización configura y gestiona la detección automática de datos confidenciales para las cuentas de la organización. Esto incluye ajustes que definen el alcance y la naturaleza de los análisis que Macie realiza para las cuentas. Los miembros no pueden acceder a esta configuración desde sus propias cuentas.

Si es el administrador Macie de una organización, puede definir el alcance de los análisis de varias maneras:

  • Habilite automáticamente la detección automática de datos confidenciales en las cuentas: cuando habilita la detección automática de datos confidenciales, especifique si desea habilitarla automáticamente para todas las cuentas existentes y las cuentas de nuevos miembros, solo para las cuentas de miembros nuevos o para ninguna cuenta. Si lo habilitas automáticamente para las cuentas de los nuevos miembros, se habilitará para cualquier cuenta que se una posteriormente a tu organización, cuando la cuenta se una a tu organización en Macie. Si está habilitada para una cuenta, Macie incluye los buckets de S3 que son propiedad de la cuenta. Si está deshabilitado para una cuenta, Macie excluye los grupos que son propiedad de la cuenta.

  • Habilitar de forma selectiva la detección automática de datos confidenciales para las cuentas: con esta opción, puede activar o desactivar la detección automática de datos confidenciales para cuentas individuales de forma puntual. case-by-case Si lo habilitas para una cuenta, Macie incluye los buckets S3 que son propiedad de la cuenta. Si no lo habilitas o lo inhabilitas para una cuenta, Macie excluye los grupos que son propiedad de la cuenta.

  • Excluye grupos de S3 específicos de la detección automática de datos confidenciales: si habilitas la detección automática de datos confidenciales para una o más cuentas, puedes excluir determinados grupos de S3 que sean propiedad de las cuentas. Luego, Macie se salta los grupos cuando realiza la detección automática para su organización. Para excluir determinados depósitos, agréguelos a la lista de exclusiones en los ajustes de configuración de su cuenta de administrador. Puede excluir hasta 1000 depósitos para su organización.

De forma predeterminada, la detección automática de datos confidenciales está habilitada automáticamente para todas las cuentas nuevas y existentes de una organización. Además, Macie incluye todos los grupos de S3 que poseen las cuentas. Si mantienes la configuración predeterminada, Macie detecta automáticamente todos los depósitos que supervisa y analiza para tu cuenta de administrador, lo que incluye todos los grupos que pertenecen a tus cuentas de miembros.

Como administrador de Macie, también define la naturaleza de los análisis que Macie realiza para su organización. Para ello, configure ajustes adicionales para su cuenta de administrador: los identificadores de datos gestionados, los identificadores de datos personalizados y las listas de permisos que desee que Macie utilice cuando analice los objetos de S3. Macie utiliza la configuración de su cuenta de administrador cuando analiza los objetos de S3 para buscar otras cuentas de su organización.

Excluir o incluir los depósitos de S3

De forma predeterminada, Amazon Macie realiza la detección automática de datos confidenciales para todos los buckets de uso general de S3 que supervisa y analiza para su cuenta. Si es el administrador de Macie de una organización, incluirá los buckets que son propiedad de las cuentas miembro.

Para afinar el alcance, puede excluir hasta 1000 depósitos de S3 de los análisis. Si excluyes un depósito, Macie deja de seleccionar y analizar los objetos del depósito cuando realiza la detección automática de datos confidenciales. Las estadísticas y los detalles del depósito sobre el descubrimiento de datos confidenciales existentes persisten. Por ejemplo, la puntuación de sensibilidad actual del depósito permanece inalterada. Después de excluir un segmento, puede volver a incluirlo más adelante.

Para excluir o incluir un bucket de S3

Puede excluir o incluir posteriormente un bucket de S3 mediante la consola Amazon Macie o Amazon Macie. API Para hacerlo mediante programación, utilice las siguientes operaciones: GetClassificationScope, para revisar una lista de los depósitos que actualmente están excluidos de los análisis UpdateClassificationScope, o para excluir o incluir un depósito en los análisis posteriores.

Para excluir o incluir posteriormente un depósito de S3 mediante la consola, siga estos pasos.

  1. Abra la consola Amazon Macie en. https://console.aws.amazon.com/macie/

  2. Con el Región de AWS selector situado en la esquina superior derecha de la página, elija la región en la que desee excluir o incluir segmentos de S3 específicos en los análisis.

  3. En el panel de navegación, en Configuración, elija Descubrimiento automatizado de datos confidenciales.

    Aparece la página Detección de datos confidenciales automatizada y muestra su configuración actual. En esa página, la sección de buckets de S3 muestra los buckets de S3 que están actualmente excluidos o indica que todos los buckets están incluidos actualmente.

  4. En la sección Buckets de S3, elija Editar.

  5. Realice una de las siguientes acciones siguientes:

    • Para excluir uno o más buckets de S3, seleccione Agregar buckets a la lista de exclusión. A continuación, en la tabla de cubos de S3, active la casilla de verificación de cada uno de los cubos que desee excluir. En la tabla se muestran todos los grupos de uso general de tu cuenta u organización en la región actual.

    • Para incluir uno o más buckets de S3 que excluyó anteriormente, seleccione Eliminar buckets de la lista de exclusión. A continuación, en la tabla de cubos de S3, active la casilla de verificación de cada uno de los grupos que desee incluir. En la tabla se enumeran todos los cubos que actualmente están excluidos de los análisis.

    Para encontrar buckets específicos con mayor facilidad, introduzca los criterios de búsqueda en el cuadro de búsqueda situado encima de la tabla. Puede ordenar las filas de la tabla si elige un encabezado de columna.

  6. Cuando termine de seleccionar los buckets, elija Agregar o Eliminar, según la opción que haya elegido en el paso anterior.

sugerencia

También puede excluir o incluir depósitos de S3 individuales de case-by-case forma individual mientras revisa los detalles de los depósitos en la consola. Para ello, elija el bucket en la página de buckets de S3. A continuación, en el panel de detalles, cambie la configuración Excluir del descubrimiento automatizado del depósito.

Añadir o eliminar identificadores de datos gestionados

Un identificador de datos gestionados es un conjunto de criterios y técnicas integrados que están diseñados para detectar un tipo específico de datos confidenciales, por ejemplo, números de tarjetas de crédito, claves de acceso AWS secretas o números de pasaporte de un país o región determinados. De forma predeterminada, Amazon Macie analiza los objetos de S3 mediante el conjunto de identificadores de datos gestionados que recomendamos para la detección automática de datos confidenciales. Para revisar una lista de estos identificadores, consulte. Configuración predeterminada para la detección automatizada de datos confidenciales

Puede personalizar los análisis para que se centren en tipos específicos de datos confidenciales:

  • Añada identificadores de datos gestionados para los tipos de datos confidenciales que desee que Macie detecte e informe, y

  • Elimine los identificadores de datos gestionados para los tipos de datos confidenciales que no desee que Macie detecte ni informe.

Si eliminas un identificador de datos gestionados, el cambio no afectará a las estadísticas ni a los detalles de descubrimiento de datos confidenciales existentes en los buckets de S3. Por ejemplo, si eliminas el identificador de datos gestionados de las claves de acceso AWS secretas y Macie ya había detectado esos datos en un depósito, Macie seguirá informando de esas detecciones.

sugerencia

En lugar de eliminar un identificador de datos gestionado, lo que afecta a los análisis posteriores de todos los depósitos de S3, puede excluir sus detecciones de las puntuaciones de sensibilidad únicamente de determinados depósitos. Para obtener más información, consulte Ajuste de las puntuaciones de sensibilidad de los cubos S3.

Para añadir o eliminar un identificador de datos gestionados

Puede añadir o eliminar un identificador de datos gestionados mediante la consola de Amazon Macie o Amazon Macie. API Para hacerlo mediante programación, utilice las siguientes operaciones: GetSensitivityInspectionTemplatepara determinar qué identificadores de datos gestionados ha añadido o eliminado de los análisis actuales, o para añadir o UpdateSensitivityInspectionTemplateeliminar un identificador de datos gestionados de los análisis posteriores.

Para añadir o eliminar un identificador de datos gestionados mediante la consola, siga estos pasos.

  1. Abra la consola Amazon Macie en. https://console.aws.amazon.com/macie/

  2. Con el Región de AWS selector situado en la esquina superior derecha de la página, elija la región en la que desee añadir o eliminar un identificador de datos gestionados de los análisis.

  3. En el panel de navegación, en Configuración, elija Descubrimiento automatizado de datos confidenciales.

    Aparece la página Detección de datos confidenciales automatizada y muestra su configuración actual. En esa página, la sección Identificadores de datos gestionados muestra tu configuración actual, organizada en dos pestañas:

    • Agregado de forma predeterminada: en esta pestaña se muestran los identificadores de datos gestionados que has añadido. Macie usa estos identificadores además de los que están en el conjunto predeterminado y tú no los has eliminado.

    • Eliminado de la configuración predeterminada: en esta pestaña se muestran los identificadores de datos gestionados que has eliminado. Macie no usa estos identificadores.

  4. En la sección Identificadores de datos administrados, seleccione Editar.

  5. Realice uno de los siguientes procedimientos:

    • Para añadir uno o más identificadores de datos administrados, seleccione la pestaña Se ha agregado al valor predeterminado. A continuación, en la tabla, active la casilla de verificación de cada identificador de datos gestionados que desee añadir. Si ya hay una casilla de verificación seleccionada, significa que ya ha agregado ese identificador.

    • Para eliminar uno o más identificadores de datos administrados, seleccione la pestaña Se ha eliminado del valor predeterminado. A continuación, en la tabla, active la casilla de verificación de cada identificador de datos gestionados que desee eliminar. Si ya hay una casilla de verificación seleccionada, ya ha eliminado ese identificador.

    En cada pestaña, la tabla muestra una lista de todos los identificadores de datos administrados que Macie proporciona actualmente. En la tabla, la primera columna especifica el ID de cada identificador de datos gestionados. El ID describe el tipo de datos confidenciales que un identificador está diseñado para detectar, por ejemplo, USA_ PASSPORT _ NUMBER para los números de pasaportes estadounidenses. Para encontrar más fácilmente identificadores de datos administrados específicos, introduzca los criterios de búsqueda en el cuadro de búsqueda situado encima de la tabla. Puede ordenar las filas de la tabla si elige un encabezado de columna. Para obtener más información sobre cada identificador, consulte Uso de identificadores de datos administrados.

  6. Cuando termine, elija Save (Guardar).

Añadir o eliminar identificadores de datos personalizados

Un identificador de datos personalizado es un conjunto de criterios que se definen para detectar información confidencial. Los criterios consisten en una expresión regular (regex) que define un patrón de texto para que coincida y, opcionalmente, secuencias de caracteres y una regla de proximidad que perfeccionen los resultados. Para obtener más información, consulte Creación de identificadores de datos personalizados.

De forma predeterminada, Amazon Macie no utiliza identificadores de datos personalizados cuando realiza la detección de datos confidenciales automatizada. Si desea que Macie utilice identificadores de datos personalizados específicos, puede añadirlos a los análisis. A continuación, Macie utiliza los identificadores de datos personalizados además de los identificadores de datos gestionados para los que Macie haya configurado.

Si añade un identificador de datos personalizado, podrá eliminarlo más adelante. El cambio no afecta a las estadísticas ni a los detalles de descubrimiento de datos confidenciales existentes en los buckets de S3. Es decir, si eliminas un identificador de datos personalizado que anteriormente producía detecciones para un depósito, Macie seguirá informando de esas detecciones. Sin embargo, en lugar de eliminar el identificador, lo que afecta a los análisis posteriores de todos los cubos, considere la posibilidad de excluir sus detecciones de las puntuaciones de sensibilidad únicamente de determinados cubos. Para obtener más información, consulte Ajuste de las puntuaciones de sensibilidad de los cubos S3.

Para añadir o eliminar un identificador de datos personalizado

Puede añadir o eliminar un identificador de datos personalizado mediante la consola Amazon Macie o Amazon Macie. API Para hacerlo mediante programación, utilice las siguientes operaciones: GetSensitivityInspectionTemplate, para determinar qué identificadores de datos personalizados se utilizan actualmente en los análisis UpdateSensitivityInspectionTemplate, o para añadir o eliminar un identificador de datos personalizado de los análisis posteriores.

Para añadir o eliminar un identificador de datos personalizado mediante la consola, siga estos pasos.

  1. Abra la consola Amazon Macie en. https://console.aws.amazon.com/macie/

  2. Con el Región de AWS selector situado en la esquina superior derecha de la página, elija la región en la que desee añadir o eliminar un identificador de datos personalizado de los análisis.

  3. En el panel de navegación, en Configuración, elija Descubrimiento automatizado de datos confidenciales.

    Aparece la página Detección de datos confidenciales automatizada y muestra su configuración actual. En esa página, la sección Identificadores de datos personalizados muestra los identificadores de datos personalizados que ya ha agregado o indica que no ha agregado ningún identificador de datos personalizado.

  4. En la sección Identificadores de datos administrados, seleccione Editar.

  5. Realice uno de los siguientes procedimientos:

    • Para agregar uno o más identificadores de datos personalizados, active la casilla de verificación de cada identificador de datos personalizado que desee agregar. Si ya hay una casilla de verificación seleccionada, significa que ya ha agregado ese identificador.

    • Para eliminar uno o más identificadores de datos personalizados, desactive la casilla de verificación de cada identificador de datos personalizado que desee eliminar. Si una casilla de verificación ya está desactivada, Macie no usa ese identificador en este momento.

    sugerencia

    Para revisar o probar la configuración de un identificador de datos personalizado antes de añadirlo o eliminarlo, elija el icono de enlace ( The link icon, which is a gray box that has an arrow in it. ) junto al nombre del identificador. Macie abre una página que muestra la configuración del identificador. Para probar también el identificador con datos de ejemplo, introduzca hasta 1000 caracteres de texto en el cuadro de datos de muestra de esa página. A continuación, selecciona Probar. Macie evalúa los datos de la muestra e informa del número de coincidencias.

  6. Cuando termine, elija Save (Guardar).

Añadir o eliminar listas de permitidos

En Amazon Macie, una lista de permitidos define un texto específico o un patrón de texto que debe ignorar Macie al inspeccionar objetos de S3 en busca de datos confidenciales. Si el texto coincide con una entrada o un patrón de una lista de permitidos, Macie no lo reporta. Este es el caso incluso si el texto coincide con los criterios de un identificador de datos gestionado o personalizado. Para obtener más información, consulte Definición de excepciones de datos confidenciales con las listas de permitidos.

De forma predeterminada, Macie no utiliza listas cuando realiza la detección de datos confidenciales automatizada. Si quiere que Macie utilice listas de permisos específicas, puede añadirlas a los análisis. Si añades una lista de permitidos, podrás eliminarla más adelante.

Para añadir o eliminar una lista de permitidos

Puede añadir o eliminar una lista de permitidos mediante la consola Amazon Macie o Amazon Macie. API Para hacerlo mediante programación, utilice las siguientes operaciones: GetSensitivityInspectionTemplate, para determinar qué listas de permitidos se utilizan actualmente en los análisis UpdateSensitivityInspectionTemplate, o para añadir o eliminar una lista de permitidos de los análisis posteriores.

Para añadir o eliminar una lista de permitidos mediante la consola, siga estos pasos.

  1. Abra la consola Amazon Macie en. https://console.aws.amazon.com/macie/

  2. Con el Región de AWS selector situado en la esquina superior derecha de la página, elija la región en la que desee añadir o eliminar una lista de personas autorizadas de los análisis.

  3. En el panel de navegación, en Configuración, elija Descubrimiento automatizado de datos confidenciales.

    Aparece la página Detección de datos confidenciales automatizada y muestra su configuración actual. En esa página, la sección Permitir listas especifica las listas de permisos que ya ha agregado o indica que no ha agregado ninguna lista de permitidos.

  4. En la sección Listas de permitidos elija Editar.

  5. Realice uno de los siguientes procedimientos:

    • Para agregar una o más listas de permisos, active la casilla de verificación de cada lista de permitidos que desee agregar. Si ya hay una casilla de verificación seleccionada, significa que ya ha agregado esa lista.

    • Para eliminar una o más listas de permisos, desactive la casilla de verificación de cada lista de permitidos que desee eliminar. Si una casilla de verificación ya está desactivada, Macie no está utilizando esa lista en este momento.

    sugerencia

    Para revisar la configuración de una lista de permitidos antes de añadirla o eliminarla, seleccione el icono de enlace ( The link icon, which is a gray box that has an arrow in it. ) situado junto al nombre de la lista. Macie abre una página que muestra la configuración de la lista. Si la lista especifica una expresión regular (regex), también puede usar esta página para probar la expresión regular con datos de ejemplo. Para ello, introduzca hasta 1000 caracteres en el cuadro Datos de muestra y, a continuación, seleccione Prueba. Macie evalúa los datos de la muestra e informa del número de coincidencias.

  6. Cuando termine, elija Save (Guardar).